«Информзащита»: менее 50% компаний восстанавливают данные после выплаты выкупа шифровальщикам

Эксперты компании «Информзащита» выявили по итогам 2025 г., что меньше половины компаний смогли полностью восстановить данные даже после перевода средств злоумышленникам. Если еще два-три года назад сам факт оплаты рассматривался бизнесом как рабочий сценарий выхода из кризиса, то сегодня он все чаще приводит лишь к частичному восстановлению или вовсе не дает ожидаемого результата. По данным аналитики, в 2024 г. доля организаций, восстановивших данные после выплаты, составляла около 62%, однако уже в 2025 г. этот показатель снизился до 47%. Параллельно выросла доля инцидентов, где выкуп был уплачен, но ключевые массивы информации остались поврежденными или недоступными.

На первый взгляд может показаться, что снижение связано с техническими ошибками самих пострадавших компаний. Однако детальный анализ инцидентов показывает иную картину. В 2025 г. заметно изменилась сама модель вымогательства. По данным специалистов, лишь 13% атак в прошлом году были связаны исключительно с шифрованием данных. В остальных случаях злоумышленники делали ставку на кражу информации и угрозу ее публикации, либо комбинировали оба подхода. Это означает, что даже при получении формального дешифратора бизнес сталкивается с утечкой, последствия которой не устраняются разблокировкой инфраструктуры. Также в каждом третьем случае зафиксированы повторные требования после первоначальной выплаты, что резко снижает экономический смысл подобных решений.

Отраслевой разрез подтверждает неравномерность рисков. Наибольшая доля инцидентов с неудачным восстановлением данных в 2025 г. пришлась на консалтинговые и юридические компании, – 24%. Здесь ключевым фактором выступает высокая ценность клиентских данных и контрактной документации. На втором месте оказались производственные предприятия – 19%, где атаки часто приводят к повреждению технологической информации и систем управления. Финансовый сектор занял 16%, несмотря на более высокий уровень зрелости ИБ, что связано с активным использованием сложных распределенных систем. Ритейл и электронная коммерция сформировали около 14% случаев, в основном за счет утечек персональных данных клиентов. Остальная доля пришлась на здравоохранение, логистику и ИТ-компании.

Ключевые причины сложившейся ситуации лежат сразу в нескольких плоскостях. Во-первых, выросла сложность самих атак. Современные шифровальщики все чаще используют нестандартные алгоритмы, повреждают резервные копии, а также намеренно вносят ошибки в структуру данных, чтобы восстановление было технически затруднено даже при наличии ключа. Во-вторых, на рынок вышло большое количество новых группировок и брокеров первоначального доступа, которые продают компрометированные – это приводит к ситуациям, когда одна и та же компания становится объектом давления со стороны разных вымогателей. В-третьих, сохраняется дефицит квалифицированных специалистов по реагированию на инциденты внутри бизнеса, из-за чего критические решения принимаются в условиях нехватки информации и времени.

При этом при анализе инцидентов 2025 г. эксперты зафиксировали еще одно системное изменение, которое напрямую влияет на падение эффективности выплат. Речь идет о заметном росте доли политически мотивированных вымогательств. В ряде случаев шифрование используется уже не как основной механизм вымогательства, а как формальный триггер для начала переговоров и психологического давления на жертву. В этих сценариях восстановление данных изначально не входит в планы злоумышленников: после получения денег коммуникация обрывается, обещания игнорируются, а инфраструктура компании нередко дополнительно дестабилизируется. Для традиционных преступных группировок сохранение репутации оставалось экономически выгодным – утрата этого доверия напрямую снижала вероятность будущих выплат. Новые игроки действуют иначе, смещая акцент с повторной монетизации на целенаправленное нанесение ущерба.

«Компании по-прежнему воспринимают выплату выкупа как некую сделку, где можно зафиксировать результат, но логика киберпреступников давно ушла от этого подхода. Для атакующей стороны это уже не сервис, а инструмент давления. Дешифратор может быть лишь поводом выиграть время или создать видимость сотрудничества», – сказал руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин, добавив, что в 2026 г. давление через повторные атаки и утечки будет только усиливаться.

В этих условиях рекомендации для бизнеса смещаются от тактических решений к стратегическим. Практика 2025 г. показала, что ставка исключительно на выкуп не снижает риски, а зачастую увеличивает их. Компании, которые смогли минимизировать ущерб, инвестировали в сегментацию инфраструктуры, изоляцию резервных копий, контроль учетных записей и сценарии восстановления без участия злоумышленников. Существенную роль сыграла и подготовка управленческих команд к кризисным ситуациям, когда решения принимаются не под давлением ультиматумов, а на основе заранее проработанных моделей. По прогнозу экспертов «Информзащиты», в 2026 г. доля успешного восстановления данных после выплаты выкупа продолжит снижаться и может опуститься ниже 40%, тогда как число атак с фокусом на кражу и повторное вымогательство будет расти.